出處:賽迪網 作者:茫然的風
毋庸置疑,一家公司的Unix架構極有可能是其全部IT問題的最重要的部分。因為它支撐著你的郵件系統、Web服務器,甚至你的最重要的企業應用。雖然Unix系統本身是極其安全的操作系統,但在這個惡意代碼和黑客行為十分猖獗的時代,我們絕不可以對Unix架構的安全問題掉以輕心。本文將討論任何Unix用戶都應該清楚的保障Unix安全的關鍵方法,籍以引起您對此問題的高度重視。
那麼,到底有哪些要素組成了Unix架構呢?這個問題難以規定其標准答案,但總體而言,大多數公司都有面向客戶或公眾的服務。這些服務器是“公用”的服務器。任何一個提供服務給外部世界的事物都有其特殊性。它們是用戶可以登錄的機器,這些用戶可以是一個合法的ISP賬戶,也有可能是一家公司的開發團隊。我們將這些可被登錄的服務器稱為“登錄服務器”,因而須對它們特別對待。還要注意,我們網絡架構中有相當多的計算機是為其它服務器提供服務的,這些服務器只有超級用戶可以訪問。
公共服務
首要的問題是,您必須看一看所有的可為外部世界提供服務的服務器,並思索自己是否真的需要。通常情況下,它們可以置於防火牆之後,或者放在一個組合式防火牆及代理服務器之後。舉例來說,如果你在四個WEB服務器上運行一個面向客戶端的WEB站點,那麼,減少這些服務器的暴露程度至最少化是可能的。放置在這些WEB服務器之前的一個代理服務器或一對冗余代理服務器可以接受所有的客戶端連接,然後檢查並清理這些服務。這就是代理服務器其中所起的作用。代理服務器夠減輕後端WEB服務器的風險,而且不受Internet的影響和訪問。
引起安全問題的最經常的原因是沒有及時打補丁或者未知的服務。很長時間以來,已被人們遺忘的WEB服務器是那種Apache的老版本或者易受攻擊的PHP腳本服務,因其內核已過時。對於災難性故障的解決處方也許太普通,不過,如果您的WEB 服務器隱藏在一個代理服務器之後,那麼幾乎就沒有什麼遺忘打補丁或服務的風險。
對於其它服務也是同樣的情況。許多站點有一些極端的限制,如防火牆管理員必須驗證任何新的網絡應用,並且工作良好。通常情況下,公司網絡完全開放,其WEB應用是不安全的,應用程序能與之交互的服務器常常是無任何理由地可被互聯網訪問。
登錄服務器
遠程用戶被限制為只能使用給定的界面,如E-MAIL服務,WEB應用或B2B服務。那些可以訪問系統外殼的本地用戶可謂完全無拘無束。如果你的系統中恰好有一個惡意用戶,除非采取極端的措施,他可對根目錄進行訪問。至於更新問題,特別是那些要求升級後重啟的內核的更新,必須在新內核的發布之日應用。總之,操作系統需要強化其穩健性。在設計架構的過程中,必須特別注意確保用戶只能對所指定的區域訪問。
如果你的網絡還有一些可對某些機器的根目錄訪問的開發人員,那麼受到傷害的可能性就會大增加。開發人員自身成為惡意用戶的可能性也許微乎其微,但絕不能排除其可能性。其實,開發人員不知不覺安裝的一些怪異的新程序有可能會損害系統。例如,Slammer 蠕蟲的傳播速度極快,原因在於它在Windows系統中通過網絡進行傳播,該蠕蟲利用Microsoft SQL Server2000的緩沖區溢出漏洞獲得系統控制權,並產生大量隨機IP地址進行攻擊,導致蠕蟲的迅速傳播並且形成拒絕服務攻擊,網絡帶寬大量地被占用。
其它問題
理論上講,企業計算機的大多數並非面向互聯網的。假如真是這樣,那麼限制用戶的暴露程度是所有公司的最優先考慮的事情,我們可以在某種程度上忽略這些服務器。這些服務器上的唯一弱點就是其所提供的界面。“假定我的WEB應用定期打補丁,就沒有必要擔心操作系統自身。”確實有一些人有這樣的觀點。
如果企業能夠限制對系統管理的登錄訪問,這種觀點有可能是正確的。保持應用程序的定期補丁也許可以算是安全的措施。但如果一個安全漏洞僅僅因為管理員沒有考慮到而被遺忘的話,你的整個架構就處於風險之中,而不僅僅是你的一台服務器。一旦攻擊者進入了系統內部,他一般會發現接觸其它服務器是相當簡單的。
因此,看起來有兩種可以保障一個架構安全的方法:一是限制暴露程度並期望(只能是期望)想象不到的威脅不會發生。二是采取措施保障自身的安全,因而一旦攻擊者試圖滲透你的防御系統,卻不能造成任何的危害。實際情況是,大多數企業甚至都不能承認其安全策略只能屬於兩種方法的一種。
防火牆是極容易被攻克的,特別是暴露的應用程序自身處於危險之中的時候。實際上,一個表面上看似很安全的防火牆通常會吸引更多的攻擊者,這不是因為他們希望接受什麼挑戰,而是因為他們知道系統是外強中干的。我們要記住,大多數企業的外部防御還是很脆弱的。